Attention au "phishing"...

johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 21/01/2005 à 22:47


Deuxième leçon de mise en garde contre les gros méchants vilains du courrier électronique.
Une pratique que j'ai déjà moult fois dénoncée ici (et je ne suis pas le seul, bien sûr), celle du "phishing" (entendez la "pêche" aux informations "sensibles" : logins, mots de passe, numéro de compte ou de carte de crédit).

Par exemple, ce mail prétendument reçu d'ebay :



où l'on m'indique qu'on "a lieu de croire qu'on a récemment tenté de s'approprier frauduleusement mon compte" (admirer l'humour, puisque c'est en fait ce que les arnaqueurs tentent précisément de réaliser) et que pour "enqueter en la matière" on "m'enjoint de vérifier mes coordonnées de compte" en "cliquant sur le lien ci-dessous". Lien apparemment normal...
(qui d'ailleurs ouvre en effet sur une APPARENCE de page d'ebay.
Sauf que l'adresse n'est pas la bonne.

Il suffit d'ouvrir son mail SYSTEMATIQUEMENT en mode texte (ce que permet par exemple Foxmail PAR DEFAUT) pour éventer la supercherie. Qu'y découvre-t-on en effet ? Que le lien pointant prétendument sur ebay renvoie tout à fait ailleurs :



(Du reste, un navigateur comme Opera permet également d'éventer le piège (décidément grossier) puisqu'il sait afficher les fausses adresses, quand IE (sauf patch, et encore) abuse ses utilisateurs.


Que faire lorsqu'on reçoit un tel mail ?
le faire suivre immédiatement au service fraude d'ebay (ou de paypal, puisque ce genre d'arnaque se fait également aux comptes paypal, ce qui est encore plus dangereux pour le porte-monnaie !)
à savoir: spoof@ebay.com, spoof@ebay.fr spoof@paypal.com

A savoir aussi : ebay ou paypal
* ne demandent JAMAIS par mail de se reconnecter sur leur site pour réintroduire ses identifiants
* quand ils vous écrivent pour gérer votre compte, c'est TOUJOURS dans la langue d'origine de votre inscription (ici, donc, le français).
* quand ils vous écrivent, c'est TOUJOURS via le site du pays où vous vous êtes inscrit (donc ebay.fr, ebay.be, ebay.de (pour la Suisse), etc.)
* quand ils vous écrivent, c'est toujours NOMMEMENT (pas de "cher client" ou de "dear ebay customer" mais "cher xxx" où xxx est le pseudo que vous avez choisi.
* enfin, le lien éventuel doit toujours renvoyer sur une adresse SECURISEE du site ebay ou paypal. La liste de ces adresses est diffusée sur le site d'ebay ou de paypal,
(voir la page :
pages.ebay.fr/help/confidence/isgw-account-theft-spoof.html
mais le plus souvent elle sera du type (pour ebay france) :
signin.ebay.fr/ pour accéder à la page de login ou du type :
http://cgi3.ebay.fr/...
https://scgi.ebay.fr/…
avec un httpS indiquant un serveur SECURISE dans le cas de pages de tractations en ligne.




johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 22/01/2005 à 01:27


Simple curiosité, est-ce que des MemoCliqueurs ont déjà reçu ce genre d\'attrape gogo mais cette fois émanant prétendument de leur banque ou d\'une société de crédit ?
Il semble pourtant que l\'arnaque soit répandue, or je n\'ai encore rencontré personne (en France) qui ait reçu ce genre de courrier envoyant sur un site bancaire bidonné.


mig24 mig24
238 contributions
Membre depuis le 15/11/2003
Envoyé le 22/01/2005 à 08:27


super tes explications
perso tout le spam que je peux reçevoir, passe direct aux oubliettes.
pourquoi tant de haine, de vil haine
johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 25/01/2005 à 19:22


Tiens, pour compléter...
encore reçu un faux mail d\'ebay (directement renvoyé à <spoof@ebay.com> bien sûr.
Par curiosité, j\'ai cliqué sur le \"faux\" lien, entré un pseudo et un mot de passe bidon (acceptés sans rechigner, bien sûr !) et je suis tombé sur cette fausse page m\'invitant à entrer mes coordonnées bancaires. Un peu gros, non ?
Mais pourtant, certains s\'y laissent prendre
163.27.1.94/up/eBayISAPIdllPlaceCCInfo.html

noter l\'adresse IP 163.27.1.94 qui n\'a bien sûr rien à voir avec ebay...

* Galeric
Anonyme
Envoyé le 25/01/2005 à 19:51

Un petit traçage d'ip


johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 25/01/2005 à 21:21


(+) tiens, une autre IP à dénoncer (ou simplement retracer) :
http://66.116.190.10/...

on peut voir si elle transite également via une université taiwanaise...

En revanche, ce lien pour (faussement) vérifier son compte paypal
wolfer-gmbh.de/.pp/
renvoyait le mois dernier sur une page hébergée \"piratement\" sur un véritable site...
wolfer-gmbh.de
une entreprise allemande de tuyautage tout à fait honorable...

Le pirate installe la page, collecte ses données, récupère le tout, puis efface la page et le répertoire du site piratés avant même que le webmestre ne s\'en soit rendu compte...

* obelixe
Anonyme
Envoyé le 26/01/2005 à 10:31

bonjour

je suis la conversation et a peine j\'ai cliqué dans le lien http://163.27.1.94/up/eBayISAPIdllPlaceCCInfo.html
mon antivirus a lancé sa popup. J\'ai chopé jsb? Si apparemment tu n\'as rien tant mieux. l\'anti virus ne peux pas le supprimer !!! mais je l\'ai repéré (capture du chemin et m\'en vais le virer de suite) incroyable !!! le fichier infecté est la page du lien je suppose que j\'aurais pas de problème...

johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 27/01/2005 à 17:23


Si apparemment tu n\'as rien tant mieux. l\'anti virus ne peux pas le supprimer !!!



je viens encore de vérifier le code source de la page incriminée : elle est totalement anodine et ne contient absolument aucun danger.

* obelixe
Anonyme
Envoyé le 27/01/2005 à 18:21

"puisque tu insistes"

dès l'ouverture du lien, dans la page et instantanément


et encore instantanément






johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 27/01/2005 à 19:16


Si tu lis le message, ce n\'est pas un virus, c\'est un troyen qui éventuellement pourrait s\'installer si l\'on clique sur un lien dans un pop-up...
Il ne faut pas se fier aveuglément aux messages d\'alerte des antivirus.
Une page html, si on n\'active pas un javascript ou un code installé dessus n\'est qu\'un fichier texte comme un autre !
Mais bon, moi j\'utilise opera et pas IE, donc les pop-ups, je ne connais pas... [:D]
Et par ailleurs, les antivirus mal configurés auront tendance à voir des virus, troyens, et autres sur des pages, je le répète, parfaitement anodines, qui se trouvent dans le répertoire temporaire de windows ou le cache internet...
(par exemple, voir les sempiternelles alertes virales de Norton ou PC-Cillin quand on relève son courrier, alors que si l\'on ne clique pas sur un lien ou une pièce jointe, là aussi, il n\'y a AUCUN RISQUE !

* obelixe
Anonyme
Envoyé le 27/01/2005 à 19:34

j\'ai simplement cliqué dans le lien indiqué la page s\'ouvre et instantanément l\'antivirus s\'est manifesté. je n\'ai pas cliqué n\'importe où donc et j\'en ai eu deux dont jsbach [:D] je t\'ai présenté là que le second.
pour moi ils sont tous dangereux.
ben je men suis bien tirée quand même. merci à securitoo.
à bientôt

mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 28/01/2005 à 12:23


Bjour à tous

<<Première condamnation en France pour escroquerie par \"phishing\"
-Un étudiant internaute avait détourné 20.000 euros en attirant ses victimes sur un faux site du Crédit lyonnais qu\'il avait créé. Il a été condamné à 8.500 euros de dommages et intérêts et un an de prison avec sursis. >> ZD net


Strato Strato
8 608 contributions
Membre depuis le 26/10/2002
Envoyé le 28/01/2005 à 12:31


Il a été condamné à 8.500 euros de dommages et intérêts et un an de prison avec sursis.

C\'est pas cher payé.... [°)]

mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 28/01/2005 à 12:42


Salut

Peut-être, mais c\'est une 1ère..... et à l\'avenir.
Le + étonnant, c\'est que le \"phisher\" qui habite Strasbourg, arnaquait en France !

singleton singleton
948 contributions
Membre depuis le 03/02/2002
Envoyé le 28/01/2005 à 13:16


Le + étonnant, c\'est que le \"phisher\" qui habite Strasbourg, arnaquait en France !


..On ne se méfie jamais assez des Alsacos.. [:o]
....Si on me l\'avait dit plutôt,je ne me serais pas marié avec une Alsacienne.. [;)]
"On ne devrait jamais quitter Montauban"..
johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 28/01/2005 à 17:57


en attirant ses victimes sur un faux site du Crédit lyonnais qu\'il avait créé


les \"victimes\" sont également à battre. Qu\'on se laisse abuser par des renvois sur des sites écrits en anglais (ebay, paypal, bidpay, American Express), passe encore. Mais les banques françaises ont toutes des portails Internet parfaitement clairs et identifiables. Par ailleurs, lorsqu\'on veut y procéder à des opérations bancaires \"à risques\" (virement sur un compte extérieur, achat de titres, par exemple), il faut impérativement souscrire un abonnement payant, et en général, cela ne se fait pas en ligne mais auprès de son agence...
Les seules tractations possibles en ligne sur une banque française sont celles a priori sans danger : consultation de compte, message au conseiller, demande de chéquier, impression de rib et virements sur comptes INTERNES (virement de compte à compte ou sur compte épargne, codevi, PEA, PEL, etc.) et encore, avec de sévères limitations sur les montants et les délais.

alsaco alsaco
950 contributions
Membre depuis le 18/09/2002
Envoyé le 28/01/2005 à 18:43


Singleton.. (?)
On ne se méfie jamais assez des Alsacos..
....Si on me l\'avait dit plutôt,je ne me serais pas marié avec une Alsacienne..

j\'ai une Picarde..............c\'est \"plus mieux\" [:D] [:D]
Jacky
johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 30/01/2005 à 04:51


Nouvelle petite leçon de phishing, cette fois, via un faux site paypal.

1. On reçoit un faux mail annonçant que votre compte paypal risque d'être suspendu
(en fait, le sujet du message annonce même carrément : "suspension du compte paypal"). Bigre !
2. Pour éviter cette suspension, on vous invite à cliquer sur le lien (ben tiens...) pour réintroduire votre pseudo et votre mot de passe...
3. Pour enfoncer le clou, vous recevez même plusieurs mails en rafale avec ce même message comminatoire...
4. Le(s) lien(s) ouvre(nt) sur une page... qui ressemble furieusement à celle de paypal, en effet...



Oui mais voilà... chaque lien est.... différent !
Et visiblement sans grand rapport avec le site paypal.com...

Qui plus est, un simple coup d'oeil sur la source des mails évente encore plus la supercherie :



Que voit-on : que l'adresse de renvoi n'est pas celle de paypal, même si le message fait semblant d'émaner de "service@paypal.com"... qui plus est le "nobody" de l'adresse de réponse diffère là aussi à chaque message !
Enfin, s'il fallait enfoncer le clou, l'adresse d'envoi ici johannis chez online, n'a JAMAIS été employée pour une inscription chez paypal !!! Là, ça devient un peu gros.

Et pourtant, le gogo moyen qui va ouvrir son courrier avec Outlook Express en mode html (en fait les 9/10e des utilisateurs, hélas). Que va-t-il voir ? Il va voir ceci :



Il va cliquer, tomber sur l'une des pages ci-dessus et...
introduire en toute innocence son pseudo et son mot de passe, cliquer...
et se retrouver sur la VRAIE PAGE du site paypal (qui lui confirmera, qui plus est, que ses identifiants sont corrects... (là, on peut dire que l'arnaque est bien faite, en effet, contrairement à l'arnaque à ebay, citée plus haut sur ce fil où l'on pouvait inscrire n'importe quoi. En revanche, dans l'arnaque à ebay, on récupérait en plus vos coordonnées bancaires et visa )
Entre-temps, bien entendu, le mal aura été fait : ses identifiants auront été interceptés par le site des pêcheurs en eaux troubles...

Rappelons donc, encore une fois, que l'adresse de login de paypal est (pour la France) :
www.paypal.com/fr/ (avec un https : site sécurisé !)
Un petit cadenas doit du reste apparaître sur une des barres de son navigateur :

Et lorsqu'on clique sur le cadenas (avec Opera, tout du moins), on a en prime l'indication du chiffrement et de l'algorithme utilisé) :


Enfin, une fois la connexion sécurisée établie, on doit voir apparaître dans sa fenêtre de navigateur une adresse du type :

www.paypal.com/fr/cgi-bin/webscr?cmd=_login-done&login_access=xxxx
(où xxxx est le numéro d'ouverture de session)






johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 30/01/2005 à 04:59


Et pour clore le sujet (s\'il le fallait...), un ultime rappel :
paypal ou ebay :
* ne demandent JAMAIS par mail vos identifiants ou coordonnées bancaires
* vous écrivent TOUJOURS dans la langue où vous vous êtes inscrit (donc en français, pour le cas qui nous occupe)
* vous appellent par votre nom (ou votre pseudo) mais jamais d\'un terme générique du style \"cher client\" ou \"dear customer\" ou \"valued customer\"
* vous écrivent à l\'adresse que vous leur avez fournie lors de votre inscription !
* enfin, ne vous bombardent JAMAIS de messages : vous en recevez un seul en tout et pour tout !

johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 30/01/2005 à 17:58


Suite du feuilleton [:oZ] [:(] et poursuite de la leçon [°)] [;)] :

Cette fois, il s'agit d'une fausse arnaque ebay...
1. message habituel : on vous demande de mettre à jour vos coordonnées
(dans la foulée on vous demande vos mots de passe ebay ET paypal (tant qu'à faire, autant faire les choses en grand)...

2. Comme on le constate :
a) l'adresse Internet est fausse (rien à voir avec ebay...)
b) je me suis permis de répondre n'importe quoi...
3. Or, l'écran suivant :

M'indique que j'ai "réactivé avec succès mon compte ebay"
Mazette !
Et que (c'est là l'astuce, bien sûr), on va "dans quelques secondes me rediriger sur mon compte).
4. Mais là, bien sûr, comme j'ai pris soin de NE PAS mettre mes vrais identifiants, je reçois un VRAI message d'erreur du VRAI compte ebay...
(qui précise bien de vérifier que l'adresse commence par "https://signin.ebay.com/"
ce qui est cette fois le cas puisqu'on est bel et bien revenu sur ebay)


La supercherie est bien démasquée !
Mais que serait-il advenu si j'avais indiqué mes VRAIS identifiants...
J'aurais été rebasculé en douceur sur le vrai site ebay (cette fois sans message d'erreur...), sans me rendre compte de rien, et dans l'intervalle, bien entendu, j'aurais donné mes identifiants à un faussaire.


mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 30/01/2005 à 19:21


Bsoir à tous

Le comble, c'est que le faussaire "s'excuse de la gêne qu'il vous occasionne (en demandant cette pseudo-vérif), qu'il souhaite vérifier que votre compte n'a pas été piraté et qu'avec votre collaboration, il lutte contre la fraude" !

Une remarque: le vrai E bay est

Le faussaire semble ne porter aucune indication de ce type ?



johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 01/02/2005 à 22:15


Le faussaire semble ne porter aucune indication de ce type ?


ça dépend des pages : certaines reprennent à s\'y méprendre l\'ensemble de la charte graphique (et surtout des liens !) d\'ebay (ou paypal).
D\'autres sont plus \"primitives\" et ne font même pas l\'effort de reprendre les polices de caractère (pas de fichier css pour accompagner la page qui est isolée, bien entendu et les faussaires n\'ont pas le courage d\'éditer entièrement une page avec des polices de caractères et des habillages insérés directement dans le code html.

Enfin, gag, on a même droit à des fautes d\'orthographe : ce matin, j\'ai reçu un mail de \"Pay Pas\" [:D] (!) au lieu de \"Pay Pal\"... lapsus freudien. [:D]

seventies seventies
14 597 contributions
Membre depuis le 01/11/2003
Envoyé le 01/02/2005 à 22:53


Il semble que seuls les clients de paypal ou eBay reçoivent ce genre de phising. Les faussaires auraient-ils les adresses des vrais clients (?) (?) (?)
Il faut bien que je supporte deux ou trois chenilles si je veux connaître les papillons (A. de Saint-Exupery)
johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 01/02/2005 à 23:08


Il semble que seuls les clients de paypal ou eBay reçoivent ce genre de phising.


à cette précision près :
comme je l\'indique un peu plus haut, la plupart des fausses annonces ebay et paypal que je reçois me sont envoyées à une boîte aux lettres DIFFERENTE de celle que j\'ai déclarée pour ebay ou paypal. Qui plus est, sur une de mes boîtes aux lettres (celle avec le pseudo johannis) qui n\'est pas (et de loin) la plus diffusée.
Mais comme toujours, il suffit que l\'adresse ait été pêchée une fois sur un forum, un site, interceptée sur un mail...

Mais il est vrai que, même si l\'adresse d\'envoi n\'est pas la bonne, je suis en effet inscrit chez ebay et paypal. Or, théoriquement, il est impossible (sauf contact établi par mail perso) d\'obtenir l\'adresse mail d\'un client ebay ou paypal tant qu\'on n\'a pas établi de transaction (enchères, achat, vente) avec lui.
Il faut donc en déduire que certains faussaires se font passer pour des clients d\'ebay et engrangent peu à peu ainsi des adresses...
Mais je crois plutôt à des vols ou des interceptions de fichiers d\'adresses qui seuls permettent ce genre d\'arnaque à grande échelle.
Enfin, il reste toujours pour les faussaires la solution du flooding (l\'envoi en nombre massif) : dans le paquet de cibles touchées, seuls les clients d\'ebay ou de paypal vont réagir (éventuellement signaler l\'existence de ces arnaques), ceux qui ne sont pas inscrits (voire ne connaissent même pas ces services...) laisseront passer ces spams sans même y prêter attention (et donc pourront, statistiquement, laisser croire qu\'ils n\'ont pas été touchés et que les envois sont donc parfaitement ciblés, ce qui reste douteux).


johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 04/02/2005 à 07:09


Suite du feuilleton...
(mais qui ne dispense pas de lire les pages indispensables sur le même thème réalisées par l'ami Pierre Pinard sur assiste.com, bien sûr !)

Cette fois (une première), je reçois une demande de confirmation de mes identifiants bancaires auprès d'un établissement américain qui me traite de "dear customer" mais dont je ne suis, bien sûr, absolument pas client... :
La page du message (si affichée en html, même rengaine...) renvoie sur un lien plus que douteux : il suffit de passer la souris dessus et de voir l'adresse ainsi encadrée:


Du reste, une lecture de la source du message est toujours édifiante...
la missive a en effet pas mal "rebondi" avant de toucher son destinataire :



johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 10/02/2005 à 19:16


Une adresse à garder précieusement (et consulter régulièrement : les mises à jour sont quotidiennes) :
www.joewein.de/sw/bl-log.htm
Il s\'agit d\'une liste noire de sites à spam accompagnée des détails sur leur IP (fournie par une requête Whois).
Une simple recherche par \"ctrl-F\" permet de retrouver aisément l\'origine d\'un spam
par exemple, ici, des \"offres de logiciel\" référencées chez
khfkbnjjnk.info (bl=2005-01-29, rogue-ns=first.cuzdns.com, created=2005-01-28)
ou chez :
banlnicg.info (bl=2005-02-09, rogue-ns=first.bcwdns.com, created=2005-02-08)

pour ce dernier, on constate que la création est récente (8 février !) pour un spam reçu dès le 9...

neigeverte neigeverte
41 contributions
Membre depuis le 25/01/2004
Envoyé le 10/02/2005 à 23:02


faite également attention il y a le meme style d\'arnaque avec aol netmail ou on vous demande de confirmer votre mot de passe étant chez aol le premier mail j\'ai zappé et bout du 10 ieme je suis tombé dans le panneau . résultat un blaireau est venu lire mes mails pendant que je dormais et a envoyé juste 500 mails spam depuis mon adresse mail . j\'ai tel a aol a qui j\'ai passé un sacré ronflon . résultat ils m\'ont retel et ont \"soit disant sécurisé \" ma connexion.en fait ils ont rien fait du tout vu qu\'il y a quelques jours j\'ai encore reçu la meme saloperie je pense envoyer un mail diplomatique a aol pour les remercier de leur incompétence .

johannis johannis
19 917 contributions
Membre depuis le 10/10/2001
Envoyé le 11/02/2005 à 10:09


au bout du 10 ieme je suis tombé dans le panneau




aol pour les remercier de leur incompétence



pour une fois, aol n\'y est pour rien... si tu donnes ton mdp à n\'importe qui...

Discussion trop ancienne

Cette discussion a été automatiquement fermée car elle n'a plus reçue de nouveau message depuis trop longtemps.

Nous vous suggérons de créer un nouveau message

« Retour sur la liste des messages de ce forum